プライマリ・コンテンツに移動
Oracle® Database Vault管理者ガイド
12
c
リリース1 (12.1)
B71286-08
索引
次
目次
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
Oracle Database Vault管理者ガイドのこのリリースの変更点
Oracle Database Vault 12cリリース1 (12.1.0.2)の変更点
新機能
DV_ACCTMGRロールの追加権限
ルールでのOracle Label SecurityファンクションOLS_LABEL_DOMINATESのサポート
権限分析のための権限の格納に使用されるプロファイルの改善
Oracle Database Vault 12
c
リリース1 (12.1.0.1)の変更点
新機能
Oracle Database Vaultの登録の変更
Oracle Database Vaultの有効と無効の切替えの変更
Oracle Database Vault管理の簡略化
Database Vaultスキーマのデフォルトの保護
システムおよびオブジェクト権限の権限分析の実行
Oracle Database Vaultの新しいレルム
Oracle Database Vaultの変更されたレルム
必須レルムの保護
レルムの追加監査情報
DBMS_MACADM PL/SQLに追加された認可プロシージャ
Oracle Database VaultでのOracle Data PumpおよびOracle Schedulerの変更
マルチテナント環境における統合
ORADEBUGユーティリティの使用を制御する機能
統合監査証跡へのDatabase Vaultレコードの挿入
Oracle Database Vault管理者のアクションの監査
監査データを取得する新しいデータ・ディクショナリ・ビュー
Oracle Database Vault監査証跡をクリーニングするための新しいロール
非推奨となった機能
サポート対象外となった機能
1
Oracle Database Vaultの概要
Oracle Database Vaultの概要
Oracle Database Vaultについて
特権アカウントに対する統制
データベース構成に対する統制
エンタープライズ・アプリケーションの保護ポリシー
ユーザーおよびアプリケーションの実行時権限分析
Oracle Database Vaultの使用に必要な権限
Oracle Database Vaultのコンポーネント
Oracle Database Vaultアクセス制御コンポーネント
Oracle Enterprise Manager Cloud ControlのDatabase Vault Administratorページ
Oracle Database Vault DVSYSおよびDVFスキーマ
Oracle Database Vault PL/SQLインタフェースおよびパッケージ
Oracle Database Vaultレポートおよびモニタリング・ツール
Oracle Database Vaultのコンプライアンスへの対応
Oracle Database Vaultによるユーザー・アカウントの保護
Oracle Database Vaultによる柔軟なセキュリティ・ポリシーの実現
Oracle Database Vaultのデータベース統合に関する問題への対応
マルチテナント環境におけるOracle Database Vaultの動作について
2
Oracle Database Vaultの有効化後のヒント
変更される初期化およびパスワード・パラメータ設定
Oracle Database Vaultによるユーザー認可の制限
職務分離を実施するための新規データベース・ロール
既存のユーザーおよびロールから取り消される権限
既存のユーザーおよびロールに対して阻止される権限
非統合監査環境の変更されたAUDIT文の設定
3
Oracle Database Vaultの開始
Oracle DatabaseへのOracle Database Vaultの登録
Oracle DatabaseへのOracle Database Vaultの登録の概要
非マルチテナント環境におけるOracle Database Vaultの登録
CDBのルートを管理するための共通ユーザーによるOracle Database Vaultの登録
個別PDBを管理するためのDatabase Vault共通ユーザーの登録
プラグインされたDatabese Vault PDB用の共通Database Vaultアカウント作成
Oracle Database Vaultが構成および有効化されていることの確認
Oracle Database Vaultへのログイン
クイック・スタート・チュートリアル: DBAアクセスからのスキーマの保護
このチュートリアルの概要
手順1: SYSTEMとしてログインしHRスキーマにアクセスする
手順2: レルムの作成
手順3: SEBASTIANユーザー・アカウントの作成
手順4: ユーザーSEBASTIANによるレルムのテスト
手順5: レルムの認可の作成
手順6: レルムのテスト
手順7: 統合監査が有効ではない場合のレポートの実行
手順8: このチュートリアルのコンポーネントの削除
4
権限分析を実行した権限の使用の確認
権限分析とは
権限分析について
権限分析でのプリコンパイル済データベース・オブジェクトの処理
権限分析を実行できるユーザー
権限分析のタイプ
権限分析の利点およびユースケース
アプリケーションに不必要に付与された権限
セキュアなアプリケーションの開発
マルチテナント環境による権限分析への影響について
権限分析ポリシーの作成および管理
権限分析ポリシーの作成および管理について
権限分析の管理の一般手順
権限分析ポリシーの作成
権限分析ポリシーの作成について
Enterprise Manager Cloud Controlの権限分析ポリシーの作成
DBMS_PRIVILEGE_CAPTUREによる権限分析ポリシーの作成
権限分析ポリシーの例
例: データベース全体の権限の権限分析
例: 2つのロールの権限の使用状況の権限分析
例: SQL*Plus使用中の権限の権限分析
例: SQL*Plusアクセス中のPSMITH権限の権限分析
権限分析ポリシーの有効化
権限分析ポリシーの有効化について
Cloud Controlによる権限分析ポリシーの有効化
DBMS_PRIVILEGE_CAPTUREによる権限分析ポリシーの有効化
権限分析ポリシーの無効化
権限分析ポリシーの無効化について
Cloud Controlによる権限分析ポリシーの無効化
DBMS_PRIVILEGE_CAPTUREによる権限分析ポリシーの無効化
権限分析レポートの生成
権限分析レポートの生成について
Cloud Controlによる権限分析レポートの生成
Cloud Controlによる権限分析レポートへのアクセス
DBMS_PRIVILEGE_CAPTUREによる権限分析レポートの生成
権限分析ポリシーの削除
権限分析ポリシーの削除について
Cloud Controlによる権限分析ポリシーの削除
DBMS_PRIVILEGE_CAPTUREパッケージによる権限分析ポリシーの削除
Cloud Controlによるロールの作成および権限の管理
Cloud Controlでの権限分析レポートからのロールの作成
Cloud Controlによるロールおよび権限の取消しおよび再付与
Cloud Controlによる取消しまたは再付与スクリプトの生成
取消しおよび再付与スクリプトの生成について
取消しスクリプトの生成
再付与スクリプトの生成
チュートリアル: ANY権限の使用の分析
手順1: ユーザー・アカウントの作成
手順2: 権限分析ポリシーの作成および有効化
手順3: READ ANY TABLEシステム権限の使用
手順4: 権限分析ポリシーの無効化
手順5: 権限分析レポートの生成および表示
手順6: このチュートリアルのコンポーネントの削除
チュートリアル: DBAロールを持つユーザーによる権限の使用の分析
手順1: ユーザー・アカウントの作成
手順2: 権限分析ポリシーの作成および有効化
手順3: データベース・チューニング操作の実行
手順4: 権限分析ポリシーの無効化
手順5: 権限分析レポートの生成および表示
手順6: このチュートリアルのコンポーネントの削除
権限分析ポリシーおよびレポート・データ・ディクショナリ・ビュー
5
レルムの構成
レルムの概要
レルムについて
必須レルムによるレルム内のオブジェクトへのユーザー・アクセスの制限
レルムで保護できるオブジェクト・タイプ
デフォルトのレルム
Oracle Database Vaultレルム
Database Vaultアカウント管理レルム
Oracle Enterprise Managerレルム
Oracleデフォルト・スキーマ保護レルム
Oracleシステム権限およびロール管理レルム
Oracleデフォルト・コンポーネント保護レルム
レルムの作成
レルム・セキュア・オブジェクトについて
レルム認可について
レルムの有効化ステータスの変更
レルムの削除
レルムの動作
レルムでの認可の動作
レルムの認可について
レルム認可の例
例: 認可されていないユーザーによる表作成の試行
例: 認可されていないユーザーによるDELETE ANY TABLE権限の使用の試行
例: 認可されたユーザーによるDELETE操作の実行
レルムで保護されたオブジェクトへのアクセス
レルムの動作の例
その他のOracle Database Vaultコンポーネントへのレルムの影響
レルム設計のガイドライン
レルムのパフォーマンスへの影響
レルムに関連するレポートおよびデータ・ディクショナリ・ビュー
6
ルール・セットの構成
ルール・セットの概要
デフォルトのルール・セット
ルール・セットの作成
ルール・セットに追加するルールの作成
ルールの作成について
デフォルト・ルール
新規ルールの作成
既存のルールのルール・セットへの追加
ルール・セットからのルールの削除
Oracle Database Vaultコンポーネントへのルール・セット参照の削除
ルール・セットの削除
ルール・セットの動作
Oracle Database Vaultによるルールの評価方法
ルール・セット内でのネストされたルール
1人のユーザーを除く全員に適用するルールの作成
チュートリアル: セキュリティ違反の電子メール・アラートの作成
このチュートリアルの概要
手順1: UTL_MAIL PL/SQLパッケージのインストールおよび構成
手順2: 電子メール・セキュリティ・アラートPL/SQLプロシージャの作成
手順3: ネットワーク・サービス用のアクセス制御リストの構成
手順4: 電子メール・セキュリティ・アラートを使用するためのルール・セットおよびコマンド・ルールの作成
手順5: 電子メール・セキュリティ・アラートのテスト
手順6: このチュートリアルのコンポーネントの削除
チュートリアル: 二人制整合性(デュアル・キー・セキュリティ)の構成
このチュートリアルの概要
手順1: このチュートリアル用のユーザーの作成
手順2: ユーザーpatch_bossがログインしているかどうかをチェックするファンクションの作成
手順3: ユーザー・アクセスを制御するためのルール、ルール・セットおよびコマンド・ルールの作成
手順4: ユーザーのアクセスのテスト
手順5: このチュートリアルのコンポーネントの削除
ルール・セット設計のガイドライン
ルール・セットのパフォーマンスへの影響
ルール・セットとルールに関連するレポートおよびデータ・ディクショナリ・ビュー
7
コマンド・ルールの構成
コマンド・ルールの概要
コマンド・ルールについて
マルチテナント環境におけるコマンド・ルール
デフォルトのコマンド・ルール
コマンド・ルールで保護できるSQL文
コマンド・ルールの作成または編集
コマンド・ルールの削除
コマンド・ルールの動作
チュートリアル: ユーザーによる表作成を制御するためのコマンド・ルールの使用方法
手順1: 表の作成
手順2: DVOWNERまたはDV_ADMINロールを使用した接続とコマンド・ルールの作成
手順3: コマンド・ルールのテスト
手順4: このチュートリアルのコンポーネントの削除
コマンド・ルール設計のガイドライン
コマンド・ルールのパフォーマンスへの影響
コマンド・ルールに関連するレポートおよびデータ・ディクショナリ・ビュー
8
ファクタの構成
ファクタの概要
デフォルトのファクタ
ファクタの作成
「ファクタの作成」ページへのアクセス
ファクタ作成のための「一般」ページの入力
ファクタ作成の「構成」ページ
ファクタの識別情報の設定
ファクタの識別の動作
ファクタの評価情報の設定
ファクタのOracle Label Securityラベル付け情報の設定
ファクタの取得メソッドの設定
取得メソッドの動作
ファクタの検証メソッドの設定
ファクタ作成の「オプション」ページ
ファクタへのルール・セットの割当て
ファクタのエラー・オプションの設定
ファクタの監査オプションの設定
ファクタの監査の動作
ファクタへのアイデンティティの追加
ファクタ・アイデンティティの概要
信頼レベルについて
ラベル・アイデンティティについて
ファクタ・アイデンティティの作成および構成
ファクタ・アイデンティティの削除
他のファクタを使用するアイデンティティを構成するためのアイデンティティ・マップの使用方法
アイデンティティ・マッピングについて
ファクタへのアイデンティティのマッピング
ファクタの削除
ファクタの動作
セッション確立時のファクタの処理
ファクタの取得
ファクタの設定
チュートリアル: データベースへの非定型ツール・アクセスの阻止
このチュートリアルの概要
手順1: HRおよびOEユーザー・アカウントの有効化
手順2: ファクタの作成
手順3: ルール・セットとルールの作成
手順4: CONNECTコマンド・ルールの作成
手順5: 非定期ツール・アクセス制限のテスト
手順6: このチュートリアルのコンポーネントの削除
チュートリアル: セッション・データに基づくユーザー・アクティビティの制限
このチュートリアルの概要
手順1: 管理者ユーザーの作成
手順2: Domainファクタへのアイデンティティの追加
手順3: Domainファクタ・アイデンティティのClient_IPファクタへのマップ
手順4: 時間を設定するルール・セットの作成およびファクタ・アイデンティティの選択
手順5: ルール・セットを使用するコマンド・ルールの作成
手順6: ファクタ・アイデンティティの設定のテスト
手順7: このチュートリアルのコンポーネントの削除
ファクタ設計のガイドライン
ファクタのパフォーマンスへの影響
ファクタに関連するレポートおよびデータ・ディクショナリ・ビュー
9
Oracle Database Vaultのセキュア・アプリケーション・ロールの構成
Oracle Database Vaultのセキュア・アプリケーション・ロールの概要
Oracle Database Vaultセキュア・アプリケーション・ロールの作成
セキュア・アプリケーション・ロールの変更
Oracle Database Vaultセキュア・アプリケーション・ロールのセキュリティ
Oracle Database Vaultセキュア・アプリケーション・ロールの削除
Oracle Database Vaultセキュア・アプリケーション・ロールの動作
チュートリアル: Database Vaultセキュア・アプリケーション・ロールによるアクセス権限の付与
このチュートリアルの概要
手順1: このチュートリアル用のユーザーの作成
手順2: OEユーザー・アカウントの有効化
手順3: ルール・セットとそのルールの作成
手順4: Database Vaultセキュア・アプリケーション・ロールの作成
手順5: セキュア・アプリケーション・ロールへのSELECT権限の付与
手順6: Database Vaultセキュア・アプリケーション・ロールのテスト
手順7: このチュートリアルのコンポーネントの削除
セキュア・アプリケーション・ロールのパフォーマンスへの影響
セキュア・アプリケーション・ロールに関連するレポートおよびデータ・ディクショナリ・ビュー
10
Oracle Database Vaultとその他のOracle製品の統合
Oracle Database Vaultとエンタープライズ・ユーザー・セキュリティの統合
Oracle Database Vaultとエンタープライズ・ユーザー・セキュリティの統合について
エンタープライズ・ユーザー認可の構成
Oracle Database Vaultアカウントをエンタープライズ・ユーザー・アカウントとして構成
Oracle Database Vaultと透過的データ暗号化の統合
Oracle Virtual Private Databaseへのファクタの追加
Oracle Database VaultとOracle Label Securityの統合
Oracle Database VaultとOracle Label Securityの統合方法
Oracle Database VaultをOracle Label Securityとともに使用するための要件
Oracle Label SecurityポリシーでのOracle Database Vaultファクタの使用方法
Oracle Label SecurityポリシーでのOracle Database Vaultファクタの使用
Oracle Label Securityポリシーと連携するファクタの構成
チュートリアル: Oracle Database VaultとOracle Label Securityの統合
このチュートリアルの概要
手順1: このチュートリアル用のユーザーの作成
手順2: Oracle Label Securityポリシーの作成
手順3: OLS認可を制御するためのOracle Database Vaultルールの作成
手順4: ルール・セットを使用するためのALTER SYSTEMコマンド・ルールの更新
手順5: 認可のテスト
手順6: このチュートリアルのコンポーネントの削除
関連するレポートおよびデータ・ディクショナリ・ビュー
Oracle Database VaultとOracle Data Guardの統合
手順1: プライマリ・データベースの構成
手順2: スタンバイ・データベースの構成
Oracle Database構成アシスタントを使用したOracle Internet Directoryの登録
11
Oracle Database Vault環境でのDBA操作
Oracle Database VaultのOracle Enterprise Managerとの使用
Oracle Database Vaultポリシーの他のデータベースへの伝播
Oracle Database Vaultポリシーに対するEnterprise Manager Cloud Controlアラート
Enterprise Manager Cloud ControlにおけるOracle Database Vault固有レポート
Database Vault環境でのDBSNMPアカウント・パスワードの変更
Oracle Database VaultでのOracle Data Pumpの使用
Oracle Database VaultでのOracle Data Pumpの使用について
ユーザーへのData Pumpの通常エクスポート操作および通常インポート操作の認可
Oracle Data Pumpの通常操作のユーザーへの認可について
Oracle Data Pumpの通常操作に対するDatabase Vault権限のレベル
Database VaultにおけるOracle Data Pumpの通常操作をユーザーに認可
Oracle Data Pump権限のユーザーからの取消し
ユーザーへのData Pumpのトランスポータブル・エクスポート操作およびトランスポータブル・インポート操作の認可
Oracle Data Pumpのトランスポータブル操作のユーザーへの認可について
Data Pumpのトランスポータブル操作に対するDatabase Vault権限のレベル
Database VaultにおけるData Pumpのトランスポータブル操作をユーザーに認可
トランスポータブル表領域権限のユーザーからの取消し
Database Vault環境でのデータのエクスポートまたはインポートのガイドライン
Oracle Database VaultでのOracle Schedulerの使用
Oracle Database VaultでのOracle Schedulerの使用について
ジョブ・スケジュール管理者へのOracle Database Vaultに対する権限の付与
ジョブ・スケジュール管理者からの権限の取消し
Oracle Recovery ManagerとOracle Database Vault
Oracle Database VaultでOracle Streamsを使用するための権限
Oracle Database VaultでXStreamを使用するための権限
Oracle Database VaultでOracle GoldenGateを使用するための権限
Oracle Database Vault環境でのデータ・マスキングの使用
Oracle Database Vaultが有効なデータベースでのデータ・マスキングについて
データ・ディクショナリ・レルム認可へのデータ・マスキング・ユーザーの追加
マスクする表またはスキーマへのアクセス権のユーザーへの付与
データ・マスキングの権限を制御するコマンド・ルールの作成
スタンドアロンのOracle DatabaseをPDBに変換してCDBにプラグイン
Oracle Database Vault環境でのORADEBUGユーティリティの使用
12
Oracle Database Vaultのスキーマ、ロールおよびアカウント
Oracle Database Vaultスキーマ
DVSYSスキーマ
DVFスキーマ
Oracle Database Vaultロール
Oracle Database Vaultロールの概要
Oracle Database Vaultロールの権限
DV_OWNER Database Vault所有者ロール
DV_ADMIN Database Vault構成管理者ロール
DV_MONITOR Database Vault監視ロール
DV_SECANALYST Database Vaultセキュリティ分析者ロール
DV_AUDIT_CLEANUP監査証跡クリーンアップ・ロール
DV_DATAPUMP_NETWORK_LINK Data Pumpネットワーク・リンク・ロール
DV_STREAMS_ADMIN Oracle Streams構成ロール
DV_XSTREAM_ADMIN XStream管理ロール
DV_GOLDENGATE_ADMIN GoldenGate管理ロール
DV_GOLDENGATE_REDO_ACCESS GoldenGate REDOログ・ロール
DV_PATCH_ADMIN Database Vaultデータベース・パッチ・ロール
DV_ACCTMGR Database Vaultアカウント・マネージャ・ロール
DV_REALM_OWNER Database VaultレルムDBAロール
DV_REALM_RESOURCE Database Vaultアプリケーション・リソース所有者ロール
DV_PUBLIC Database Vault PUBLICロール
登録中に作成されるOracle Database Vaultアカウント
バックアップOracle Database Vaultアカウント
13
Oracle Database VaultレルムのAPI
ADD_AUTH_TO_REALMプロシージャ
ADD_OBJECT_TO_REALMプロシージャ
CREATE_REALMプロシージャ
DELETE_AUTH_FROM_REALMプロシージャ
DELETE_OBJECT_FROM_REALMプロシージャ
DELETE_REALMプロシージャ
DELETE_REALM_CASCADEプロシージャ
RENAME_REALMプロシージャ
UPDATE_REALMプロシージャ
UPDATE_REALM_AUTHプロシージャ
14
Oracle Database Vaultルール・セットのAPI
DBMS_MACADMルール・セットのプロシージャ
ADD_RULE_TO_RULE_SETプロシージャ
CREATE_RULEプロシージャ
CREATE_RULE_SETプロシージャ
DELETE_RULEプロシージャ
DELETE_RULE_FROM_RULE_SETプロシージャ
DELETE_RULE_SETプロシージャ
RENAME_RULEプロシージャ
RENAME_RULE_SETプロシージャ
UPDATE_RULEプロシージャ
UPDATE_RULE_SETプロシージャ
Oracle Database VaultのPL/SQLルール・セット・ファンクション
DVSYS.DV_SYSEVENTファンクション
DVSYS.DV_LOGIN_USERファンクション
DVSYS.DV_INSTANCE_NUMファンクション
DVSYS.DV_DATABASE_NAMEファンクション
DVSYS.DV_DICT_OBJ_TYPEファンクション
DVSYS.DV_DICT_OBJ_OWNERファンクション
DVSYS.DV_DICT_OBJ_NAMEファンクション
DVSYS.DV_SQL_TEXTファンクション
15
Oracle Database Vaultコマンド・ルールのAPI
CREATE_COMMAND_RULEプロシージャ
DELETE_COMMAND_RULEプロシージャ
UPDATE_COMMAND_RULEプロシージャ
16
Oracle Database VaultファクタのAPI
DBMS_MACADMファクタのプロシージャおよびファンクション
ADD_FACTOR_LINKプロシージャ
ADD_POLICY_FACTORプロシージャ
CHANGE_IDENTITY_FACTORプロシージャ
CHANGE_IDENTITY_VALUEプロシージャ
CREATE_DOMAIN_IDENTITYプロシージャ
CREATE_FACTORプロシージャ
CREATE_FACTOR_TYPEプロシージャ
CREATE_IDENTITYプロシージャ
CREATE_IDENTITY_MAPプロシージャ
DELETE_FACTORプロシージャ
DELETE_FACTOR_LINKプロシージャ
DELETE_FACTOR_TYPEプロシージャ
DELETE_IDENTITYプロシージャ
DELETE_IDENTITY_MAPプロシージャ
DROP_DOMAIN_IDENTITYプロシージャ
GET_INSTANCE_INFOファンクション
GET_SESSION_INFOファンクション
RENAME_FACTORプロシージャ
RENAME_FACTOR_TYPEプロシージャ
UPDATE_FACTORプロシージャ
UPDATE_FACTOR_TYPEプロシージャ
UPDATE_IDENTITYプロシージャ
Oracle Database VaultランタイムのPL/SQLプロシージャおよびファンクション
Oracle Database VaultランタイムのPL/SQLプロシージャおよびファンクション
DVSYS.SET_FACTORプロシージャ
DVSYS.GET_FACTORファンクション
DVSYS.GET_TRUST_LEVELファンクション
DVSYS.GET_TRUST_LEVEL_FOR_IDENTITYファンクション
DVSYS.ROLE_IS_ENABLEDファンクション
DVSYS.GET_FACTOR_LABELファンクション
Oracle Database VaultのDVF PL/SQLファクタ・ファンクション
Oracle Database VaultのDVF PL/SQLファクタ・ファンクションについて
F$AUTHENTICATION_METHODファンクション
F$CLIENT_IPファンクション
F$DATABASE_DOMAINファンクション
F$DATABASE_HOSTNAMEファンクション
F$DATABASE_INSTANCEファンクション
F$DATABASE_IPファンクション
F$DATABASE_NAMEファンクション
F$DOMAINファンクション
F$ENTERPRISE_IDENTITYファンクション
F$IDENTIFICATION_TYPEファンクション
F$LANGファンクション
F$LANGUAGEファンクション
F$MACHINEファンクション
F$NETWORK_PROTOCOLファンクション
F$PROXY_ENTERPRISE_IDENTITYファンクション
F$SESSION_USERファンクション
17
Oracle Database Vaultセキュア・アプリケーション・ロールのAPI
DBMS_MACADMセキュア・アプリケーション・ロールのプロシージャ
CREATE_ROLEプロシージャ
DELETE_ROLEプロシージャ
RENAME_ROLEプロシージャ
UPDATE_ROLEプロシージャ
DBMS_MACSEC_ROLESセキュア・アプリケーション・ロールのプロシージャおよびファンクション
CAN_SET_ROLEファンクション
SET_ROLEプロシージャ
18
Oracle Database Vault Oracle Label SecurityのAPI
CREATE_MAC_POLICYプロシージャ
CREATE_POLICY_LABELプロシージャ
DELETE_MAC_POLICY_CASCADEプロシージャ
DELETE_POLICY_FACTORプロシージャ
DELETE_POLICY_LABELプロシージャ
UPDATE_MAC_POLICYプロシージャ
19
Oracle Database VaultユーティリティのAPI
DBMS_MACUTLの定数
DBMS_MACUTLの定数のリスト
例: DBMS_MACUTLの定数を使用したレルムの作成
例: DBMS_MACUTLの定数を使用したルール・セットの作成
例: DBMS_MACUTLの定数を使用したファクタの作成
DBMS_MACUTLパッケージのプロシージャおよびファンクション
CHECK_DVSYS_DML_ALLOWEDプロシージャ
GET_CODE_VALUEファンクション
GET_SECONDファンクション
GET_MINUTEファンクション
GET_HOURファンクション
GET_DAYファンクション
GET_MONTHファンクション
GET_YEARファンクション
IS_ALPHAファンクション
IS_DIGITファンクション
IS_DVSYS_OWNERファンクション
IS_OLS_INSTALLEDファンクション
IS_OLS_INSTALLED_VARCHARファンクション
USER_HAS_OBJECT_PRIVILEGEファンクション
USER_HAS_ROLEファンクション
USER_HAS_ROLE_VARCHARファンクション
USER_HAS_SYSTEM_PRIVILEGEファンクション
20
Oracle Database Vaultの一般管理API
DBMS_MACADM一般システム・メンテナンスのプロシージャ
ADD_NLS_DATAプロシージャ
AUTHORIZE_DATAPUMP_USERプロシージャ
AUTHORIZE_DDLプロシージャ
AUTHORIZE_PROXY_USERプロシージャ
AUTHORIZE_SCHEDULER_USERプロシージャ
AUTHORIZE_TTS_USERプロシージャ
UNAUTHORIZE_DATAPUMP_USERプロシージャ
UNAUTHORIZE_DDLプロシージャ
UNAUTHORIZE_PROXY_USERプロシージャ
UNAUTHORIZE_SCHEDULER_USERプロシージャ
UNAUTHORIZE_TTS_USERプロシージャ
DISABLE_DVプロシージャ
DISABLE_DV_DICTIONARY_ACCTSプロシージャ
DISABLE_DV_PATCH_ADMIN_AUDITプロシージャ
DISABLE_ORADEBUGプロシージャ
ENABLE_DVプロシージャ
ENABLE_DV_PATCH_ADMIN_AUDITプロシージャ
ENABLE_DV_DICTIONARY_ACCTSプロシージャ
ENABLE_ORADEBUGプロシージャ
DVSYS.CONFIGURE_DV一般システム・メンテナンスのプロシージャ
21
Oracle Database VaultのAPIリファレンス
DBMS_MACADM PL/SQLパッケージの内容
DBMS_MACSEC_ROLES PL/SQLパッケージの内容
DBMS_MACUTL PL/SQLパッケージの内容
CONFIGURE_DV PL/SQLプロシージャ
DVF PL/SQLインタフェースの内容
22
Oracle Database Vaultのデータ・ディクショナリ・ビュー
Oracle Database Vaultのデータ・ディクショナリ・ビューについて
DVSYS.DBA_DV_CODEビュー
DVSYS.DBA_DV_COMMAND_RULEビュー
DVSYS.DBA_DV_DATAPUMP_AUTHビュー
DVSYS.DBA_DV_DDL_AUTHビュー
DVSYS.DBA_DV_DICTIONARY_ACCTSビュー
DVSYS.DBA_DV_FACTORビュー
DVSYS.DBA_DV_FACTOR_LINKビュー
DVSYS.DBA_DV_FACTOR_TYPEビュー
DVSYS.DBA_DV_IDENTITYビュー
DVSYS.DBA_DV_IDENTITY_MAPビュー
DVSYS.DBA_DV_JOB_AUTHビュー
DVSYS.DBA_DV_MAC_POLICYビュー
DVSYS.DBA_DV_MAC_POLICY_FACTORビュー
DVSYS.DBA_DV_ORADEBUGビュー
DVSYS.DBA_DV_PATCH_ADMIN_AUDITビュー
DVSYS.DBA_DV_POLICY_LABELビュー
DVSYS.DBA_DV_PROXY_AUTHビュー
DVSYS.DBA_DV_PUB_PRIVSビュー
DVSYS.DBA_DV_REALMビュー
DVSYS.DV$REALMビュー
DVSYS.DBA_DV_REALM_AUTHビュー
DVSYS.DBA_DV_REALM_OBJECTビュー
DVSYS.DBA_DV_ROLEビュー
DVSYS.DBA_DV_RULEビュー
DVSYS.DBA_DV_RULE_SETビュー
DVSYS.DBA_DV_RULE_SET_RULEビュー
DVSYS.DBA_DV_STATUSビュー
DVSYS.DBA_DV_TTS_AUTHビュー
DVSYS.DBA_DV_USER_PRIVSビュー
DVSYS.DBA_DV_USER_PRIVS_ALLビュー
DVSYS.DV$CONFIGURATION_AUDITビュー
DVSYS.DV$ENFORCEMENT_AUDITビュー
SYS.DV$CONFIGURATION_AUDITビュー
SYS.DV$ENFORCEMENT_AUDITビュー
23
Oracle Database Vaultの監視
セキュリティ違反未遂の監視
セキュリティ違反未遂の監視について
Oracle Database Vault Administratorによるセキュリティ違反の監視
セキュリティ・ポリシー変更の監視
セキュリティ・ポリシー変更の監視について
Oracle Database Vaultによるカテゴリ別のセキュリティ・ポリシー変更の監視
24
Oracle Database Vaultレポート
Oracle Database Vaultレポートについて
Oracle Database Vaultレポートを実行できるユーザー
Oracle Database Vaultレポートの実行
Oracle Database Vault構成の問題のレポート
「コマンド・ルール構成の問題」レポート
「ルール・セット構成の問題」レポート
「レルム認可構成の問題」レポート
「ファクタ構成の問題」レポート
「アイデンティティのないファクタ」レポート
「アイデンティティ構成の問題」レポート
「セキュア・アプリケーション構成の問題」レポート
Oracle Database Vaultの監査レポート
「レルムの監査」レポート
「コマンド・ルールの監査」レポート
「ファクタの監査」レポート
「Label Security統合の監査」レポート
「コアDatabase Vault監査証跡」レポート
「セキュア・アプリケーション・ロールの監査」レポート
Oracle Database Vaultの一般セキュリティ・レポート
オブジェクト権限レポート
「PUBLICでのオブジェクト・アクセス」レポート
「PUBLIC以外でのオブジェクト・アクセス」レポート
「直接オブジェクト権限」レポート
「オブジェクトの依存性」レポート
データベース・アカウントのシステム権限レポート
「データベース・アカウントごとの直接システム権限」レポート
「データベース・アカウントごとの直接および間接システム権限」レポート
「データベース・アカウントごとの階層システム権限」レポート
「データベース・アカウントのANYシステム権限」レポート
「権限ごとのシステム権限」レポート
機密オブジェクト・レポート
「強力なSYSパッケージに対するEXECUTE権限」レポート
「機密オブジェクトへのアクセス」レポート
「SYS PL/SQLプロシージャに対するPUBLIC EXECUTE権限」レポート
「SYSDBA/SYSOPER権限を持つアカウント」レポート
権限管理 - サマリー・レポート
「権限受領者ごとの権限の配布」レポート
「権限受領者、所有者ごとの権限の配布」レポート
「権限受領者、所有者、権限ごとの権限の配布」レポート
強力なデータベース・アカウントおよびロールのレポート
「WITH ADMIN権限の付与」レポート
「DBAロールを持つアカウント」レポート
「セキュリティ・ポリシー除外」レポート
「BECOME USER」レポート
ALTER SYSTEMまたはALTER SESSIONレポート
「パスワード履歴へのアクセス」レポート
WITH GRANT権限レポート
「指定されたロールを持つロールとアカウント」レポート
「カタログ・ロールを持つデータベース・アカウント」レポート
「AUDIT権限」レポート
「OSセキュリティ脆弱性に関する権限」レポート
初期化パラメータおよびプロファイルのレポート
「セキュリティ関連のデータベース・パラメータ」レポート
「リソース・プロファイル」レポート
「システム・リソース制限」レポート
データベース・アカウント・パスワードのレポート
「データベース・アカウントのデフォルト・パスワード」レポート
「データベース・アカウントのステータス」レポート
セキュリティ監査レポート: コア・データベース監査レポート
その他のセキュリティ脆弱性レポート
「Javaポリシーの付与」レポート
「OSディレクトリ・オブジェクト」レポート
「動的SQLに依存するオブジェクト」レポート
アンラップされたPL/SQLパッケージ本体レポート
「ユーザーまたはパスワード表」レポート
「表領域割当て制限」レポート
「所有者でないオブジェクトのトリガー」レポート
A
Oracle Database Vaultの監査
Oracle Database Vaultでの監査について
Oracle Database Vault環境での統合監査証跡の保護
Oracle Database Vault固有の監査イベント
Oracle Database Vaultポリシーの監査イベント
Oracle Database Vault監査証跡レコードの書式
Oracle Database Vault監査証跡のアーカイブおよびパージ
Oracle Database Vault監査証跡のアーカイブおよびパージについて
Oracle Database Vault監査証跡のアーカイブ
Oracle Database Vault監査証跡のパージ
Oracle Database Vault用に作成されるOracle Database監査設定
B
Oracle Database Vaultの無効化および有効化
Oracle Database Vaultを無効にする必要がある場合
手順1: Oracle Database Vaultの無効化
手順2: 必要なタスクの実行
手順3: Oracle Database Vaultの有効化
C
Oracle Database Vaultのインストール後の手順
Oracle RACノードでのOracle Database Vaultの構成
Oracle Database Vaultへの言語の追加
Oracle Database Vaultのアンインストール
Oracle Database Vaultの再インストール
D
Oracle Database Vaultセキュリティ・ガイドライン
職務分離のガイドライン
Oracle Database Vaultによる職務分離の処理
Oracle Database Vault環境でのタスクの分離
Oracle Database Vaultの職務分離マトリクス
データベース・ユーザーのタスクの識別および文書化
Oracle Database管理アカウントの管理
一般的な管理目的のためのSYSTEMユーザー・アカウント
アプリケーション表のSYSTEMスキーマ
SYSDBA管理権限の制限
Oracle Database Vaultへのルートおよびオペレーティング・システムのアクセス
Oracle Database Vaultによって信頼されるアカウントおよびロール
信頼できる人物に制限する必要のあるアカウントおよびロール
オペレーティング・システムへのルート・アクセス権を持つユーザーの管理
Oracleソフトウェア所有者の管理
SYSDBAアクセスの管理
SYSOPERアクセスの管理
Oracle Database Vaultを本番環境で使用するためのガイドライン
セキュアな構成のガイドライン
UTL_FILEおよびDBMS_FILE_TRANSFERパッケージのセキュリティの考慮事項
UTL_FILEおよびDBMS_FILE_TRANSFERパッケージのセキュリティの考慮事項について
DBMS_FILE_TRANFERパッケージへのアクセスの保護
例: CREATE DATABASE LINKへのアクセスを拒否するコマンド・ルールの作成
例: CREATE DATABASE LINKへのアクセスを有効にするコマンド・ルールの作成
例: CREATE DIRECTORYへのアクセスを無効および有効にするコマンド・ルール
リサイクルビンのセキュリティに関する考慮事項
リサイクルビンのセキュリティの考慮事項について
リサイクルビンの内容のチェック
リサイクルビンの内容のパージ
リサイクルビンの無効化
CREATE ANY JOB権限のセキュリティの考慮事項
CREATE EXTERNAL JOB権限のセキュリティの考慮事項
LogMinerパッケージのセキュリティの考慮事項
ALTER SYSTEMおよびALTER SESSION権限のセキュリティの考慮事項
ALTER SYSTEMおよびALTER SESSION権限のセキュリティの考慮事項について
例: 既存のALTER SYSTEMコマンド・ルールへのルールの追加
E
Oracle Database Vaultのトラブルシューティング
トレース・ファイルを使用したOracle Database Vaultイベントの診断
トレース・ファイルを使用したOracle Database Vaultイベントの診断について
Oracle Database Vaultで追跡できるトレース・イベントと追跡できないイベントのタイプ
Oracle Database Vaultトレース・イベントのレベル
Oracle Database Vaultトレース・ファイルを有効にしたときのパフォーマンスへの影響
Oracle Database Vaultトレース・イベントの有効化
現在のデータベース・セッションに対するトレース・イベントの有効化
すべてのデータベース・セッションに対するトレース・イベントの有効化
マルチテナント環境でのトレース・イベントの管理
Oracle Database Vaultトレース・ファイル・データの検索
Database Vaultトレース・ファイルのディレクトリの場所の検索
Linuxのgrepコマンドを使用してトレース・ファイルから文字列を検索
ADRコマンド・インタプリタ(ADRCI)ユーティリティを使用してトレース・ファイルを問合せ
例: 低レベルのOracle Database Vaultレルム違反を示すトレース・ファイル
例: 高レベルのトレースを有効にしたOracle Database Vault権限
例: レルム保護されたオブジェクトに対する違反の最高レベルのトレース
Oracle Database Vaultトレース・イベントの無効化
現在のデータベース・セッションに対するトレース・イベントの無効化
すべてのデータベース・セッションに対するトレース・イベントの無効化
マルチテナント環境でのトレース・イベントの無効化
一般的な診断のヒント
Oracle Database Vaultコンポーネントにかかわる構成の問題
Oracle Database Vaultのアカウント・パスワードのリセット
DV_OWNERユーザー・パスワードのリセット
DV_ACCTMGRユーザー・パスワードのリセット
索引